日前,一名19歲的青少年聲稱遠程入侵了13個國家的超過25輛特斯拉汽車,并在一系列推文中表示,他在特斯拉的系統中發現一處軟件漏洞,這個軟件漏洞使他能夠訪問電動汽車先驅的系統。
這位青少年自稱是信息技術專家大衛科倫坡(David Colombo),他在社交媒體上表示,該軟件缺陷使他能夠解鎖門窗、無需鑰匙啟動汽車并禁用其安全系統。他還聲稱,他不僅可以遠程控制,還能查看車內是否有司機,打開車輛的立體聲系統并閃爍前燈。
軟件漏洞頻出 安全問題突出
過去的幾年中,特斯拉多次遭到黑客入侵。
曾有多家網絡安全公司的研究人員已經證明,特斯拉可以被黑客輕松入侵,甚至在許多情況下可以被遠程入侵。
早在2014年,也就是特斯拉第二款汽車產品Model S發布兩年后,其第一個漏洞就被360集團相關團隊發現,利用該缺陷,控制者能夠通過遠程控制實現開鎖、鳴笛等操作。
2020年,特斯拉因攝像頭記錄了駕駛員的面部特征以及車內大部分空間而陷入“隱私門”,其中的監控錄像就是一名黑客入侵汽車后曝光的信息。
無獨有偶,同樣是在2020年,一名黑客針對特斯拉汽車成功開發了新的密鑰克隆中繼攻擊,不到5分鐘,一輛價值70多萬元的特斯拉就被遠程控制開走了。2020年9月,國內網絡安全龍頭企業——奇安信的車聯網安全研究員演示通過遠程方式在線開啟了一輛智能汽車的車窗、后視鏡,隨后汽車被啟動、上路。
不僅如此,隨著互聯網信息技術的發展,用戶的個人信息通過各種渠道上傳到網絡終端,已經成為個人的數字名片,包含了用戶的所有信息,同時也涉及更多用戶個人信息安全問題。
作為移動數據收集和發射器,每一輛智能汽車都可以獲取車主身份、行動軌跡、駕駛習慣、與手機藍牙綁定的通訊錄、談話等內容,車主行駛所到之處,人、地、事、物均一覽無遺。汽車聯網后,上述安全風險更為突出,黑客通過漏洞攻擊,可能肆意收集和越界使用相關數據,不僅侵犯了用戶隱私,更威脅到國家安全。
軟件重新定義 風險愈發集中
軟件重新定義了電動汽車的構造,但也不可避免帶來新的風險隱患。一輛智能汽車包含多達150個電子控制單元和大約1億行軟件代碼,這也給黑客攻擊的機會。
現代電動汽車90%以上由計算機和軟件控制。汽車被接入無線網、Car2x,連接器和總線(例如OBD)等,這些接口都可能被利用,使得汽車易遭遇網絡攻擊。
捷豹路虎前首席執行官拉爾夫·斯佩斯曾說,在一個互聯的世界里,網絡安全與剎車一樣,對用戶的安全至關重要。汽車智能化和網聯化速度加快,也意味著以往互聯網存在的所有安全威脅都將平滑地向汽車蔓延。一旦車輛受到入侵,尤其是車輛在高速行駛的時候受到入侵,將可能導致車毀人亡。而隨著車聯網的發展,汽車與外界的接口隨之增多,可能遭受到的風險也越大。
中科院創業投資管理有限公司研究總監邵元駿博士對記者表示:“智能化、網聯化趨勢下,汽車逐步由簡單的動力機械升級為具備數據處理和通信功能的智能終端,由于智能網聯汽車處于發展初期,技術尚未成熟,所以有較多的漏洞有待在發展的過程中逐步發現并完善,實現產品迭代升級。這是技術從發展到成熟必經的過程。”
據AV-TEST Institute數據顯示,過去10年中惡意軟件的數量從2011年的約6500萬增加到2020年底的約11億;根據工信部車聯網動態監測情況顯示,2020年以來發現的針對整車企業、車聯網信息服務提供商等相關企業的惡意攻擊達到280余萬次。近年來,各國網絡安全研究人員和汽車企業披露的網絡安全事件和安全風險漏洞也在持續增加。
智能網聯領域專家王丹也指出:“軟件領域的安全漏洞或者bug是一定會存在的,換句話,不存在沒有漏洞的系統。”從這一角度看,軟件“拖了”智能化的后腿,似乎是無法避免的。
AVL List中國網絡安全負責人、資深汽車安全工程師楊倚也認同這一觀點,他說:“現在看來,完全安全的系統是不存在的,而且傳統的汽車架構與技術在早期并沒有充分考慮網絡安全問題,因此隨著聯網程度的提高,汽車網絡安全風險也會與日俱增。然而,汽車網絡安全才剛剛起步,解決方案還跟不上其它智能系統的發展速度,這是當前的現狀。”
多方加強重視 用戶培養提上日程
事實上,國內外汽車企業在研發智能網聯汽車伊始,并未充分考慮到為之配備充分的網絡安全保障功能。直至2016年前后,頻繁出現的車輛網絡安全攻擊事件引起了較大的社會反響,并威脅到車輛用戶和汽車企業的人身和財產安全,大部分車企開始意識到建設網絡安全保障能力的重要性。
現在雖然企業和國家層面都認識到了網絡安全的重要性,但誠實地講,想要做到全面的防范仍有困難。邵元駿認為,主要從三個層面加強對汽車網絡安全的保障:國家層面應盡快完善涉及汽車安全的法律法規及標準體系,完善智能汽車的檢測、認證和準入體系,規范智能汽車產品的合規上市;企業層面應重視汽車智能化趨勢下功能安全的保障,硬件和軟件雙管齊下,提升車輛產品在信息傳輸和保存環節的可靠性以及應對外部攻擊和非法操控的能力;消費者層面應提升安全意識,重視智能汽車產品的安全功能,將安全作為購車前考慮的重要指標。
楊倚指出,現在看起來政府和行政機構已經意識到了汽車網絡安全風險并開始積極推動立法,同時相關組織開始制定一系列的安全標準,車企方面也開始逐步針對法律與標準進行網絡安全建設,這都是好的趨勢。
據《智能網聯汽車安全滲透白皮書2.0》,目前,國內外汽車企業正在積極建立專業網絡安全部門或者子公司,加強網絡安全管理。國內企業在網絡安全防護方面同樣在加緊部署,造車新勢力開始組建網絡安全團隊,并與專業網絡安全科技公司開展合作,建立以主動防御為核心的網絡安全防護體系,從云端、車端、移動端全面保障網絡安全。同時傳統車企也正在網絡安全領域積極跟進,例如上汽集團組織下屬企業加入集團網絡安全保護與管理體系,統一部署數據加密軟件,保證集團整體的數據安全,并通過自建云平臺和云計算中心,為車輛產品提供全品類的云安全服務。
